Что делать если есть подозрения, что сервер был взломан

Если вы подозреваете, что на ваш сервер кто-то залез - лучше, конечно, сразу обратиться к профессионалам, которые изучат активность сервера, определят и устранят уязвимости, устранят последствия. Но если хочется сначала разобраться во всем самому, то вот есть небольшая инструкция.

Первое, на что нужно обратить внимание - это дата и время последней авторизации, если авторизация происходила не под вашим контролем, значит root-пароль был скормпрометирован и необходимо его сменить:

passwd
Changing password for user root.
New UNIX password:
...

Далее сканируем хост на предмет подозрительных открытых портов. Сделать это можно, например, с другой юниксовой машины (как хорошо, что я уже несколько лет как отказался от Windows в пользу Linux) с помощью утилиты nmap (только IP своего сервера впишите):

nmap -P0 111.111.111.111

Результатом будет список из портов, с указанием их статуса и того, каким сервисом занят данный порт. Анализируя данный список можно отсеять ненужные фильтры путем остановки данных сервисов и закрытия порта (если нужно).

Для анализа подозрительных портов, можно из консоли сервера посмотреть, кто слушает данные порты:

grep LISTEN | grep 111
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1685/portmap

Далее проверяем UPD-соединения:

netstat –anp | grep udp 

Если и тут все хорошо - проверяем, не лежат ли чужие ssh-ключи. для этого смотрим залитые на сервер ключи:

dir /root/.ssh

Если информация по ключу вам не знакома, следует от данного ключа избавиться.

Далее нужно проверить файл /etc/passwd. В нём не должно быть пользователей с uid=0, кроме root:

cat /etc/passwd | more

Если и тут все хорошо, то остается лишь проверить хост на установленные руткиты. Для этого можно использовать бесплатную утилиту rkhunter.

./installer.sh --install --layout /usr/local
/usr/local/bin/rkhunter –-update
/usr/local/bin/rkhunter –-check

Rkhunter в начале проверят важные системные файлы, затем ищет руткиты. После происходит проверка на различные vulnerabilities. В конце программа проверяет версии популярных продуктов, таких как Apache, OpenSSH и т.п. на предмет последних версий.

Результаты своей работы rkhunter выдает в консоль, а также формирует консолидированный лог /var/log/rkhunter.log. Можно запускать данный антируткит, например, каждый день по крону и получать отчет о сканировании по электронной почте.

Вот такая вышла инструкция для знакомых с работой в *nix-системах. Очень рекомендую проводить такую вот проверку хотя бы раз в месяц.

P.S. Я не являются специалистом системного администрирования, поэтому использование данной инструкции - на ваш страх и риск. Если сомневаетесь - лучше обратитесь к специалисту!